**の新しいコンソールエクスペリエンスの紹介 AWS WAF** 更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。 翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # SRT へのアクセスの許可 このページでは、SRT が AWS WAF ログにアクセスし、 AWS Shield Advanced および AWS WAF APIs を呼び出して保護を管理できるように、ユーザーに代わって動作するアクセス許可を SRT に付与する手順を示します。 アプリケーションレイヤー DDoS イベント中、SRT は AWS WAF リクエストをモニタリングして異常なトラフィックを特定し、問題のあるトラフィックソースを軽減するためのカスタム AWS WAF ルールを作成できます。 さらに、Application Load Balancer、Amazon CloudFront、またはサードパーティーのソースからのパケットキャプチャやログなど、Amazon S3 バケットに保存されている他のデータへのアクセス権を SRT に付与することもできます。 **注記** Shield Response Team (SRT) のサービスを使用するには、[ビジネスサポートプラン](https://aws.amazon.com/premiumsupport/business-support/)または[エンタープライズサポートプラン](https://aws.amazon.com/premiumsupport/enterprise-support/)をサブスクライブする必要があります。 **SRT の許可を管理するには** 1. AWS Shield コンソール**の概要**ページの**「SRT サポートの設定 AWS **」で、**「SRT アクセスの編集**」を選択します。**Edit AWS Shield Response Team (SRT) アクセス**ページが開きます。 1. **SRT アクセス設定**には、次のいずれかのオプションを選択します。 + **アカウントへのアクセス権を SRT に付与しない** – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。 + **[Create a new role for the SRT to access my account]** (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル `drt.shield.amazonaws.com` を信頼するロールを作成し、マネージドポリシー `AWSShieldDRTAccessPolicy` をそれにアタッチします。管理ポリシーは、SRT がユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスすることを許可します AWS WAF 。管理ポリシーの詳細については、「[AWS マネージドポリシー: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)」を参照してください。 + **SRT がアカウントにアクセスするための既存のロールを選択する** – このオプションでは、 AWS Identity and Access Management 次のように (IAM) でロールの設定を変更する必要があります。 + マネージドポリシー `AWSShieldDRTAccessPolicy` をロールにアタッチします。この管理ポリシーにより、SRT はユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスできるようになります AWS WAF 。管理ポリシーの詳細については、「[AWS マネージドポリシー: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)」を参照してください。マネージドポリシーをロールにアタッチする方法については、「[Attaching and Detaching IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」(IAM ポリシーのアタッチとデタッチ) を参照してください。 + サービスプリンシパル `drt.shield.amazonaws.com` を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「[IAM JSON ポリシーエレメント: プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)」を参照してください。 1. **(オプション): Amazon S3 バケットへの SRT アクセスを付与**します。 AWS WAF ウェブ ACL ログにないデータを共有する必要がある場合は、これを設定します。Application Load Balancer アクセスログ、Amazon CloudFront ログ、またはサードパーティーのソースからのログはその一例です。 **注記** AWS WAF ウェブ ACL ログに対してこれを行う必要はありません。SRT は、アカウントへのアクセス権が付与されると、それらにアクセスできるようになります。 1. 次のガイドラインに従って Amazon S3 バケットを設定します。 + バケットの場所は、前のステップの **AWS Shield Response Team (SRT) アクセスで SRT** に一般アクセス権を付与したもの AWS アカウント と同じ にある必要があります。 + バケットは、プレーンテキストまたは SSE-S3 暗号化のいずれかです。Amazon S3 SSE-S3 暗号化の詳細については、「Amazon S3 ユーザーガイド」の「[Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) を使用したデータの保護](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)」を参照してください。 SRT は、 AWS Key Management Service () に保存されているキーで暗号化されたバケットに保存されているログを表示または処理することはできませんAWS KMS。 1. Shield Advanced の **[(Optional): Grant SRT access to an Amazon S3 bucket]** ((オプション): Amazon S3 バケットへのアクセス権を SRT に付与) セクションで、データまたはログが保存されている各 Amazon S3 バケットについてバケットの名前を入力し、**[Add Bucket]** (バケットを追加) を選択します。バケットは最大 10 個まで追加できます。 これにより、SRT に各バケットに対する次の `s3:GetBucketLocation`、`s3:GetObject`、および `s3:ListBucket` 許可が付与されます。 10 個を超えるバケットにアクセスする許可を SRT に付与する場合は、追加のバケットポリシーを編集し、SRT についてここにリストされている許可を手動で付与することで、これを実行できます。 ポリシーリストの例を以下に示します。 ``` { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ``` 1. **[保存]** を選択して変更を保存します。 また、IAM ロールを作成してポリシー AWSShieldDRTAccessPolicy をアタッチしてから、そのロールをオペレーション [AssociateDRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) に渡すことで、API を通じて SRT を承認することもできます。